Compartir a través de


Renovación de certificado de grupo de máquinas para administradores

La primera máquina que se une a un grupo de máquinas de Power Automate emite un certificado autofirmado que se usa para:

  • Encriptar credenciales de Windows en conexiones de flujo de escritorio.
  • Identificar las máquinas con Power Automate.

Este certificado está protegido con una contraseña que solo el cliente conoce.

¿Qué sucede durante la renovación del certificado del grupo de máquinas?

Un diagrama de escala de tiempo para el vencimiento del certificado actual

La renovación del certificado del grupo de máquinas comienza de forma predeterminada seis meses antes de que caduque el certificado actual y finaliza cuando el certificado actual ha caducado. La renovación del certificado del grupo de máquinas no afectará la capacidad de su grupo de máquinas para ejecutar flujos, ya que es rápido, ocurre entre ejecuciones y admite máquinas tanto en el certificado actual como en el nuevo durante la renovación. Durante ese tiempo:

  • La primera máquina del grupo que se conecta con Power Automate emitirá un nuevo certificado protegido por contraseña.

  • Las próximas máquinas del grupo que se conecten con Power Automate actualizarán su certificado con el nuevo. Este paso puede ocurrir incluso si otras máquinas (incluso la primera) están fuera de línea.

  • Las máquinas con el nuevo certificado aún pueden ser objetivo de las conexiones de flujo de escritorio que encriptan las credenciales con el certificado actual.

  • Las conexiones de flujo de escritorio que se dirigen a la máquina o grupo de máquinas se actualizarán automáticamente después de usarse en un flujo de nube para una ejecución de flujo de escritorio.

¿Con qué frecuencia ocurre la renovación del certificado?

De forma predeterminada, los certificados de grupos de máquinas caducan una vez cada cinco años. La renovación ocurre durante los últimos seis meses antes del vencimiento. Para ver información sobre cómo personalizar este comportamiento, vaya a ¿Cómo personalizar la duración de la renovación y el vencimiento de la certificación?.

¿Qué sucede si las máquinas pierden la renovación del certificado del grupo de máquinas (sin conexión, Power Automated obsoleto para escritorio, etc.)?

Si al menos una máquina del grupo se actualizó con el último certificado, otras máquinas que no pasaron el período de renovación podrán volver a unirse al grupo. Primero, vuelva a generar la contraseña del grupo de máquinas en la máquina que se actualizó. Luego, en otras máquinas, abra la aplicación en tiempo de ejecución de máquina de Power Automate, seleccione volver a unir e ingrese la nueva contraseña del grupo de máquinas.

Si todas las máquinas de un grupo de máquinas perdieron la renovación del certificado, no puede usar este grupo de máquinas. Debe eliminarlo, volver a crear un nuevo grupo de máquinas y unirse a las máquinas. Para encontrar información sobre cómo identificar las máquinas que perdieron la renovación del certificado de grupo, vaya a ¿Cómo puedo saber si una máquina se ha actualizado con un nuevo certificado o no?.

¿Qué sucede si las conexiones de flujo de escritorio no se usan durante la renovación del certificado del grupo de máquinas?

Si una conexión de flujo de escritorio no se usa durante la renovación del certificado del grupo de máquinas, debe corregir esta conexión:

  • Vaya al portal Power Automate.
  • Vaya a Datos>Conexión.
  • Busque conexiones de flujo de escritorio con el estado Reparar conexión y ábralas para volver a ingresar la información necesaria.

¿Qué pasa si se espera que algunas máquinas permanezcan fuera de línea o sin usar durante varios meses?

Deberá poner esas máquinas en línea y ejecutar flujos en ellas durante el período de renovación del certificado.

  1. Encuentre máquinas que necesitan tener Power Automate para escritorio actualizado.

    Sus máquinas deben estar equipadas con Power Automate versión 2.23 o superior. Puede verificar la versión de su máquina usando la columna Versión del agente en la tabla Máquina de flujo en Dataverse.

  2. Encuentre el período de renovación para cada máquina.

    Puede determinar el período de renovación para las máquinas de un grupo determinado consultando las columnas fecha de creación de la clave y el período de gracia de caducidad de la clave del grupo en la tabla Flujo de grupo de máquinas en Dataverse. El período de tiempo entre los Datos de creación y la fecha de creación + período de gracia es cuando cada máquina del grupo debe conectarse y recuperar la última seguridad del grupo.

  3. Reciba un recordatorio para poner las máquinas en línea durante el período de renovación.

    Puede recibir notificaciones de actualizaciones de seguridad de la máquina con un flujo en la nube y el siguiente activador Dataverse:

    Este desencadenador se invocará cada vez que se actualice la seguridad de la máquina. Para encontrar información sobre qué valores usar en el activador, vaya a ¿Cómo puedo saber si una máquina se ha actualizado con un nuevo certificado o no?.

    Captura de pantalla del diálogo de desencadenador Cuando se agrega, modifica o elimina una fila.

    Uso:

    • PendingNewKey para máquinas que requieren una actualización de seguridad.
    • Predeterminado para máquinas que procesaron con éxito una actualización de seguridad.
    • KeyExpired para máquinas que no pudieron obtener un nuevo certificado durante el período de renovación.

    Nota

    Puede utilizar las opciones avanzadas adicionales para ajustar el comportamiento de este disparador.

  4. Valide que las máquinas tengan los nuevos certificados.

    Puede verificar que sus máquinas hayan obtenido la última versión del certificado de grupo de máquinas mediante la columna Estado de entrega de clave de máquina en la tabla Máquina de flujo en Dataverse. Si el valor está vacío o configurado como predeterminado, entonces su máquina está actualizada.

  5. Ejecute flujos de escritorio con cada conexión dirigida a esas máquinas para evitar repararlas más tarde.

    Abra el sitio del portal de Power Automate:

    1. Seleccione Supervisar>Máquinas.
    2. Seleccione la máquina de la lista.
    3. En la página de detalles de la máquina, busque la tarjeta de conexiones y seleccione Ver todas las conexiones.
    4. Ejecute un flujo de escritorio con cada una de estas conexiones de flujo de escritorio.

    Captura de pantalla de conexión de una máquina.

¿Cómo saber cuándo se realizará la próxima renovación del certificado?

Hay tres parámetros que rigen los plazos de renovación de certificados, cada uno disponible en una columna en el registro Flujo de grupo de máquinas en Dataverse:

  • La columna Fecha de creación de la clave registra la fecha en la que se creó el certificado.
  • La columna Periodo de validez de la clave documenta la vigencia del certificado.
  • La columna Periodo de gracia de la clave representa la ventana de tiempo en la que se crea un nuevo certificado y las máquinas y las conexiones se migran a una nueva clave.

Puede averiguar la fecha exacta de la próxima renovación del certificado utilizando el siguiente cálculo: Fecha de creación de la clave + (Período de validez de la clave – Período de gracia de la clave)

Un diagrama de escala de tiempo para el vencimiento del certificado actual

¿Cómo saber si una máquina ha sido actualizada con un nuevo certificado o no?

Puede verificar que sus máquinas hayan obtenido la última versión del certificado de grupo de máquinas mediante la columna Estado de entrega de clave de máquina en la tabla Máquina de flujo en Dataverse.

  • Si el valor está vacío o configurado como predeterminado, entonces su máquina está actualizada.
  • Si el valor es Nueva clave pendiente, la máquina está dentro del período de renovación y aún no se ha actualizado. Se actualizará cuando se conecte o dentro de las 24 h si ya está en línea.
  • Si el valor es Clave caducada, la máquina ha perdido el período de renovación y debe volver a unir manualmente la máquina al grupo.

¿Cómo personalizar las duraciones de vencimiento y renovación de la certificación?

Power Automate le permite personalizar la vigencia del certificado y la anticipación con la que se activa la renovación para cualquier grupo de máquinas. Las próximas renovaciones utilizarán esas columnas de Dataverse (las actualizaciones pueden tardar 24 horas en ser recogidas):

Table Column Uso Límites
Grupo de máquina de flujo Período de validez de la clave de grupo Duración en minutos después de la cual caducará el próximo certificado emitido. Mínimo:Tres meses (129 600 minutos)
Máximo: Cinco años (2 628 000 minutos).
Grupo de máquina de flujo Período de gracia de expiración de la clave de grupo Duración en minutos antes de la fecha de vencimiento del certificado del grupo de máquinas donde las máquinas renovarán sus certificados. Mínimo: 45 días (64.800 minutos)
Máximo: la mitad del Período de Validez de Clave de Grupo.

El certificado actual sigue siendo válido hasta su fecha de expiración. Los cambios en el período de validez solo se aplicarán al siguiente certificado.

Se deben tener en cuenta algunas consideraciones especiales al cambiar el período de validez y el período de gracia:

  • Si el valor del nuevo período de validez de la clave de grupo es más corto que la vida útil del certificado actual o se encuentra dentro del período de gracia definido, se programará una renovación del certificado de inmediato. Comenzará en las siguientes 24 h, suponiendo que algunas máquinas del grupo estén en línea. El período de renovación del certificado durará el período de gracia definido.

  • Si el valor del nuevo período de validez de la clave de grupo es más largo que el actual, no sucederá nada inmediatamente. El certificado vigente se mantendrá activo hasta su rotación. El nuevo certificado tendrá en cuenta el nuevo periodo de validez.

¿Cómo desencadenar una renovación de certificado?

Si desea acelerar la renovación del certificado, puede editar el Período de validez de la clave de grupo para cambiar la duración del período de renovación. Este valor no puede ser superior a la mitad del período de validez de la clave de grupo y no puede ser inferior a 45 días.

Si necesita invalidar los certificados inmediatamente, elimine sus grupos de máquinas en Power Automate y vuelva a crearlos. Puede hacerlo eliminando las filas correspondientes en la tabla Flujo de grupo de máquinas .

Advertencia

La eliminación de grupos de máquinas requerirá la reparación de las conexiones de flujo de escritorio dirigidas a estos grupos de máquinas.